Universidad Piloto de Colombia. Chaves Celis John Ferney. Modelo BMIS.

Modelo BMIS
Chaves Celis, John Ferney. john_chaves374@hotmail.com Universidad Piloto de Colombia

ResumenLa asociacin ISACA adelant un modelo

llamado BMIS (Business Model for Information), el cual est orientado a la seguridad de la informacin en las organizaciones y establece un estndar en el que compone varios elementos para un debido aseguramiento de la informacin. Tambin esta basado en varios estndares; sus componentes ms importantes son: las personas, los procesos y la tecnologa, que son parte fundamental en la ejecucin de este modelo en la organizacin.

II. COMPONENTES DEL MODELO BMIS A continuacin se muestran los componentes del modelo BMIS, que estn interconectados y funcionan todos unidos para garantizar el aseguramiento de la informacin, como se muestra en la Figura 1.

ndice de TrminosArquitectura, Gobernabilidad,

Modelo, Tecnologa.

I. INTRODUCCIN A lo largo de la historia, el aseguramiento de la informacin se ha convertido en un papel fundamental para las organizaciones de todo el mundo que ven con preocupacin que su activo ms valioso se vea amenazado por agentes internos y externos, por esta razn, a medida que han ido surgiendo amenazas se ha hecho necesario la creacin de modelos de implementacin de seguridad con el fin de que se eviten consecuencias adversas en este aspecto. Por eso, asociaciones como ISACA, trabajan constantemente en el tema de seguridad de la informacin y han creado varios estndares y modelos, como es el caso de BMIS, que se hacen con el objeto de que las organizaciones las tengan al alcance de su mano, esto con el fin de que puedan ser implementadas para mitigar este flagelo; de igual manera existen otras instituciones que han generado estndares como son: ISO 27000, ISO 27001 entre otras que han sido casos de xito a nivel mundial y ampliamente reconocidas.

Fig. 1 Modelo BMIS

A. La Organizacin Tambin se precisa como: La organizacin es una red de personas que interactan entre s. Estas interacciones estn contenidas entre las personas y las cosas. Impulsa a la cultura de la gobernanza y la arquitectura. La seguridad es el componente necesario asignado y ms grande para la organizacin[1]. El modelo indica que la organizacin no solo est compuesta de los empleados, tambin hacen parte de ella los proveedores, clientes y todos los entes externos que de alguna forma u otra tengan que ver con ella en la razn del negocio. De acuerdo a lo que se expone en este componente, que al integrar a los proveedores,

Universidad Piloto de Colombia. Chaves Celis John Ferney. Modelo BMIS.

clientes y los entes que de alguna manera hacen parte de forma externa con la organizacin con las personas, el modelo no deja nada al azar y entiende que en lo que se refiere a asegurar la informacin, todos de alguna manera u otra tienen que ver con ella. Tambin la organizacin debe identificar la figura del responsable de la seguridad de la informacin y se le deben reportar todos lo concerniente con este tema. Este actor debe proponer y ejercer controles para asegurar la informacin de la organizacin. B. Procesos El componente de procesos es muy importante al interior de la organizacin, porque es la parte ms pequea de ella, se podra definir como el paso a paso en el algoritmo, porque al ser pequeo no deja de ser importante, de igual forma, un conjunto de procesos crea la plataforma que construye da a da la organizacin; por eso este componente debe ser l de ms atencin y por ende el ms estructurado. Tiene tal importancia, que une todos los componentes, es decir si se omitiera no podra completarse la aplicacin del estndar. Los procesos son parte esencial de la organizacin, porque con ellos se instituyen los requerimientos para la ejecucin de las actividades diarias, esto tambin es muy fundamental en el desarrollo de los procedimientos del modelo de la seguridad de la informacin. C. Gobernabilidad Este componente es la reunin de las prcticas y compromisos dirigidos por el comit ejecutivo y directivo con la finalidad de establecer finalidades de direccionamiento estratgico, objetivos y velar para que los riesgos sean controlados de manera eficaz y el buen uso de los recursos. Se debe tener en cuenta que cualquier ejecucin o toma de decisin debe estar debidamente argumentada. Antes de poner en prctica los lineamientos, estos ya tienen que estar pactados en el diseo de la organizacin. Este componente del modelo BMIS cuenta con varios modelos de referencias de seguridad apoyadas en cuanto al tema de gobierno.

D. Cultura Es precisada como: La cultura evoluciona de forma compartida y la historia de un grupo pasa por un conjunto de experiencias comunes. Aquellas experiencias similares causan ciertas respuestas. Las respuestas se convierten en un conjunto de experiencias y comportamientos compartidos. Estos comportamientos se convierten en reglas no escritas que se convierten en las normas que son compartidas por todas las personas que tienen esa historia comn.[2]. Es fundamental que se genere conciencia al interior de la organizacin con respecto a que el empleado hay que capacitarlo en cuanto al manejo de la tecnologa, indicndole las vulnerabilidades que puede tener la informacin y las buenas prcticas que puede implementar con el modelo para resguardar el activo ms importante que es la informacin. De esta manera es la encargada de unir a las personas y la organizacin. Es un proceso largo en el que cada persona debe tener comportamientos constantes de buenas prcticas en lo que refiere a la seguridad de la informacin al interior de la organizacin para que a futuro se vean reflejados en una cultura. E. Arquitectura Una arquitectura de seguridad es una representacin de todas las personas, procesos, polticas y la tecnologa que comprende a las organizaciones en prcticas de seguridad.[3]. En lo concerniente al tema de seguridad, la arquitectura esta al nivel de la infraestructura, hay que tener cuidado al encasillarla al nivel de la tecnologa, porque esta va ms all y varia mucho. Se denomina como la organizacin principal que integra sus componentes, el ambiente y son las bases para que dirijan el diseo y el avance. El componente de arquitectura contiene tres elementos basados en el modelo Zachman, que son: contextual, conceptual y lgico. F. Habilitacin y Soporte Su funcin es suministrar los servicios de tecnologa para la organizacin y permite constituir los procesos y la tecnologa. En muchos casos, la habilitacin es un medidor en que se catalogan los impactos en que se encuentran los procesos y la

Universidad Piloto de Colombia. Chaves Celis John Ferney. Modelo BMIS.

tecnologa. Por esta razn las empresas deben tener en cuenta la tecnologa y los procesos, porque a veces enfatizan ms en el uno que en el otro y esto puede ser un grave error y a futuro pueden generar problemas por la falta de enfoque, por eso al tener en cuenta la habilitacin y el soporte se muestra un equilibrio entre ambos. G. Mejoramiento Continuo La finalidad es la constante enseanza entre las personas y los procesos, se debe tener en cuenta que el mejoramiento continuo es de primordial importancia, ya que ayudan a un mejor conocimiento de los requerimientos. Por otro lado, las buenas prcticas del mejoramiento continuo, refuerza una mejor interiorizacin de los procedimientos y polticas de la seguridad de la informacin. De todas formas hay que tener en cuenta que lo emergente no siempre es sinnimo de progreso, esto puede tener connotaciones de tipo positivo o negativo H. Factores Humanos Desde mi punto de vista es el complemento ms dbil, puesto que si una organizacin puede tener tecnologa de punta pero si no maneja unas buenas prcticas frente a sus empleados, o no los capacita de forma adecuada y constante no se podra proteger la informacin de forma adecuada y con esto desencadenara vulnerabilidades a su interior. Por eso se hace necesario que al implementar las polticas, se tengan en cuenta a las personas; que todo se implemente al tiempo, con eso se generara un sentido de pertenencia de cada persona de la organizacin en lo que refiere con el aseguramiento de los datos. Se hace necesario identificar las falencias que surgen de la interaccin del factor humano con la tecnologa de acuerdo a BMIS. III. CONCLUSIONES El modelo BMIS es un estndar que esta tomando acogida en la comunidad informtica y se muestra muy prometedor para muchas empresas por su fcil adquisicin, de igual forma la asociacin ISACA

esta haciendo un esfuerzo enorme por exponerlo a los dems a travs de resultados de la aplicacin del modelo en casos de la vida real para darle as, mucho ms auge; a su vez, puede ofrecer un valioso servicio al ser gratuito y por eso este se encuentra al alcance de todo el mundo, tambin integra componentes importantes para el desarrollo de la seguridad de la informacin como son: las personas, la tecnologa y los procesos. De igual forma, puede ser integrado al interior de cualquier organizacin. Este modelo se puede establecer en una organizacin con el fin de descubrir falencias y vulnerabilidades de una manera eficaz, y tambin se pueden instaurar medidas de seguridad para mitigar riesgos y amenazas, realizando un control general de la organizacin, sin dejar de lado ningn componente y trabajando de forma paralela. Sin embargo con estas connotaciones hay que tener en cuenta que el modelo al ser gratuito, pueda que no sea auto sostenible. A raz que el tema de la seguridad informtica a nivel mundial ha empezado a tener ms acogida en las organizaciones debido a que con ms frecuencia a muchas compaas da tras da ven vulnerada su seguridad, ya sea por agentes internos o externos; es por eso que gracias a modelos como el BMIS desarrollan buenas prcticas y luchan por contrarrestar acciones ilegales, siempre con el fin de proteger la informacin.
REFERENCIAS

[1][2][3] A Business Model for Information Security - NIS'11, 2014. [Online] Disponible: http://www.nis-summerschool.eu/nis09/presentations/15-Le-Roux.pdf John F. Chaves Celis Ingeniero de Sistemas de la Universidad Minuto
de Dios, estudiante de la Especializacin en Seguridad Informtica de la Universidad Piloto de Colombia.